RVTools VMware yönetim aracı için resmi web sitesi, kullanıcıların makinelerine Bumblebee kötü amaçlı yazılım yükleyicisini bırakmak için bir truva atı yükleyicisini dağıtan bir tedarik zinciri saldırısı gibi görünen bir çevrimdışı olarak alındı.
Yazma sırasında, ‘rvtools.com’ ve ‘robware.net’ adresindeki resmi RVTools web siteleri artık aracı diğer kaynaklardan indirme riskleri hakkında bir bildirim gösteriyor. Mesaj, indirme portallarının ne zaman çevrimiçi olarak döneceğine dair hiçbir tahmin vermez.
Web sitesi, “Robware.net ve rvtools.com şu anda çevrimdışı. Hizmeti geri yüklemek ve sabrınızı takdir etmek için hızla çalışıyoruz.”
“Robware.net ve rvtools.com sadece RVTools yazılımı için yetkili ve desteklenen web siteleri. Söz konusu RVTools yazılımını diğer web sitelerinden veya kaynaklardan aramayın veya indirmeyin. “
Kaynak: BleepingComputer.com
Rvtool tedarik zinciri saldırısı
Başlangıçta Robware tarafından geliştirilen ve şimdi Dell’e ait olan RVTools, VMware vSphere ortamları için kapsamlı envanter ve sağlık raporlaması sağlayan bir Windows yardımcı programıdır.
RVTools, VMware yöneticileri için temel bir araç olarak kabul edilmektedir ve VMware’in kendi Sanal Bloklar blogu bunu VSphere Management için en iyi yardımcı program olarak tanımıştır.
Tedarik zinciri saldırısı ilk olarak resmi RVTools Montajcının [VirusTotal] kötü amaçlı bir sürüm yürütmeye çalıştı. dll [VirusTotal] Bumblebee kötü amaçlı yazılım yükleyici olarak tespit edildi.
Leon, “Daha fazla araştırma, RVTools web sitesinde listelenen hash ile indirilen gerçek dosya arasında bir uyumsuzluk ortaya çıktı.”
“İndirilen sürüm önemli ölçüde daha büyüktü ve kötü niyetli sürüm içeriyordu.
“Virustotal sunumumuzdan yaklaşık bir saat sonra, kamu başvurularının sayısı 4’ten 16’ya yükseldi. Aynı zamanda, RVTools web sitesi geçici olarak çevrimdışı oldu. İndirim çevrimiçi geldiğinde, indirme değişti: dosya boyutu daha küçüktü ve hash şimdi sitede listelenen temiz sürümle eşleşti”.
Bumblebee, tipik olarak SEO zehirlenmesi, kötüverizasyon ve kimlik avı saldırıları yoluyla tanıtılan bir kötü amaçlı yazılım yükleyicidir. Kurulduğunda, kötü amaçlı yazılım, Kobalt Strike Beacons, Bilgi Stealers ve Fidye Yazılımları gibi enfekte olmuş cihazlarda ek yükler indirir ve yürütür.
Kötü amaçlı yazılım, kötü amaçlı yazılımları kurumsal ağlara ilk erişim elde etmek için kullanan Conti fidye yazılımı işlemine bağlıdır. Conti fidye yazılımı operasyonu 2022’de kapanırken, üyelerinin çoğu siyah Basta, Royal, Sessiz Fidye ve diğerleri de dahil olmak üzere diğer fidye yazılımı işlemlerine ayrıldı.
Siber güvenlik firması Arctic Wolf ayrıca, muhtemelen SEO zehirlenmesi veya kötüverizasyon yoluyla teşvik edilen kötü niyetli yazım hatası alanları aracılığıyla dağıtılan truva atlı rvtools montajcılarını gördüğünü bildiriyor.
Arctic Wolf Report, “Arktik Wolf son zamanlarda kötü niyetli bir yazım hatası ile truva atlı bir rvtools montajının dağılımını gözlemledi.”
“Etki alanı meşru etki alanıyla eşleşir, ancak üst düzey etki alanı (TLD) .com’dan .org’a değiştirilir. RVTools, Robware tarafından geliştirilen envanter ve yapılandırma raporlaması için yaygın olarak kullanılan bir VMware yardımcı programıdır.”
Son zamanlarda, RVTools markasını hedefleyen SEO zehirlenmesi ve kötü niyetli kampanyalar hakkında insanları kötü niyetli, truva atışçılarını indirmeye kandırmak için başka raporlar da vardı.
Bu alanlardan yazılım indirdiyseniz, cihazınıza Bumblebee kötü amaçlı yazılımlar ve muhtemelen ek yükler ile enfekte olma şansı yüksektir.
Kötü amaçlı yazılım, tehdit aktörleri tarafından kurumsal ağlarda bir yer kazanmak için kullanıldığından, tespit edilirse, diğer cihazların tehlikeye girip girmediğini belirlemek için tam bir soruşturma yapmak çok önemlidir.
Hash’ini doğrulamadığınız sürece, güvenli/temiz bir sürüm sunduğunu iddia eden resmi olmayan kaynaklardan RVTools yükleyicilerini indirmeyin ve yürütmeyin.
BleepingComputer, saldırı hakkında daha fazla bilgi edinmek için RVTools’un sahibi Dell ile temasa geçti ve bir yanıt alırsak bu hikayeyi güncelleyecek.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.